Dostosowanie KPA do obowiązków wynikających z RODO

Nowelizacja przepisów Kodeksu postępowania administracyjnego (KPA) w kontekście RODO wprowadza istotne zmiany, nakładając dodatkowe obowiązki dotyczące ochrony danych osobowych. Przepis art. 2a normuje sposób wykonywania obowiązku informacyjnego zgodnie z art. 13 RODO, niezależnie od procedur administracyjnych. Rozdzielenie sfery ochrony danych osobowych od postępowania administracyjnego potwierdza zasadność wprowadzonych regulacji.

Tematyka: Dostosowanie KPA, obowiązki wynikające z RODO, ochrona danych osobowych, procedury administracyjne, informacja o danych osobowych

Od 4.5.2019 r. zaczęły obowiązywać nowe regulacje związane z wejściem w życie ustawy o zmianie
niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady
(UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne
rozporządzenie o ochronie danych, dalej jako RODO). Nowelizacja przepisów dotyczy także Kodeksu
postępowania administracyjnego.
Przepis art. 1 przedmiotowej ustawy wprowadza istotne zmiany w ustawie z 14.6.1960 r. − Kodeks postępowania
administracyjnego (t.j.: Dz.U. z 2018 r. poz. 2096 ze zm., dalej jako: KPA). Intencją ustawodawcy było, aby
stosowanie obowiązków wynikających z RODO odbywało się obok przewidzianych w KPA procedur
administracyjnych, a więc aby organy administracji publicznej przestrzegały przepisów dotyczących ochrony danych
osobowych oraz realizowały obowiązki wynikające z przepisów o ochronie danych osobowych.
Mając powyższe na względzie wprowadzono przepis art. 2a, który wskazuje, że Kodeks postępowania
administracyjnego normuje również sposób wykonywania obowiązku informacyjnego, o którym mowa w art. 13 ust. 1
i 2 RODO oraz że wykonywanie tego obowiązku informacyjnego odbywa się niezależnie od obowiązków organów
administracji publicznej przewidzianych w Kodeksie postępowania administracyjnego i nie wpływa na tok i wynik
postępowania. „Celem powyższej regulacji jest wprowadzenie do KPA przepisów wskazujących na sytuacje,
w których organy administracji publicznej będą zobowiązane realizować art. 13 RODO oraz jednoznaczne
podkreślenie odrębności ww. regulacji od postępowania administracyjnego. Od strony proceduralnej przepisy KPA
zapewniają stronom i uczestnikom postępowania gwarancje prawno-procesowe związane z ich sytuacją prawną,
w tym uwzględniające poszanowanie ich danych osobowych (np. ograniczające jawność akt postępowania).
Zasadność podkreślenia na gruncie KPA rozdzielenia sfery ochrony danych osobowych w zakresie obowiązków
informacyjnych od postępowań prowadzonych na gruncie KPA potwierdza art. 77 RODO, który wskazuje, iż każda
osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie
członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia,
jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza RODO. W konsekwencji należy uznać, że
osobie której dane dotyczą przysługują na gruncie RODO odrębne od uprawnień wynikających z KPA uprawnienia
związane z przetwarzaniem danych osobowych” (Uzasadnienie do art. 2a KPA).
Wymaga podkreślenia, że organ administracji publicznej przetwarzający dane na podstawie art. 6 ust. 1 lit. c RODO
nie będzie zobowiązany do informowania stron postępowania o prawie do wniesienia sprzeciwu, o prawie do
przenoszenia danych, o prawie do bycia zapomnianym, a także o prawie do cofnięcia zgody na przetwarzanie
danych osobowych. Korzystanie z tychże praw zostało bowiem wyłączone w art. 6 ust. 1 lit. c RODO w zakresie,
w jakim podstawą przetwarzania danych osobowych jest obowiązek ciążący na administratorze wynikający
z przepisów prawa.
W uzasadnieniu do projektu ustawy wskazano, że „Wprowadzone w KPA przepisy wskazujące na momenty,
w których ma nastąpić spełnienie obowiązku informacyjnego, o którym mowa w art. 13 ust. 1 i 2 RODO, uwzględniają
specyfikę działań organów oraz styczności tych organów ze stronami postępowania przy okazji prowadzenia
postępowania administracyjnego. Pozwoli to na zrealizowanie celów RODO, a jednocześnie nie będzie wiązało się
z dodatkowymi obowiązkami dla organów”. Realizacja obowiązku organu administracji publicznej, o którym mowa
w art. 13 RODO nastąpi co do zasady przy pierwszej czynności organu skierowanej do strony postępowania, chyba
że jest już ona w posiadaniu tych informacji np. w formularzu, który ściągnęła ze strony internetowej i go wypełniła
celem przesłania do organu.
Warto także zwrócić uwagę na zmiany dokonane w przepisach art. 73 KPA oraz art. 236 KPA wskazujące, że dane
osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny
w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot
ujawnione zgodnie z prawem dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do
ochrony danych osobowych.
Ustawodawca nie zdecydował się również na wprowadzenie w postępowaniu skargowym ogólnego przepisu
wskazującego, że „art. 226b KPA stanowiący, że organy właściwe w sprawach skarg i wniosków, nie przekazują
osobom nieuprawnionym, danych osoby których dane osobowe zostały zamieszczone w skardze lub wniosku,
informacji o danych osobowych, chyba że osoba składająca skargę wyraziła na to zgodę. W ocenie projektodawcy
uniemożliwiłoby to załatwianie skarg, gdy skarga jest skargą skierowaną na działanie określonego pracownika
w związku z wypełnieniem lub niewłaściwym wypełnianiem przez niego obowiązków służbowych oraz

uniemożliwiłoby rozpatrywanie skarg i wniosków na organy samorządu terytorialnego (np. wójta) oraz przez organy
ustawodawcze samorządu terytorialnego”. W ocenie ustawodawcy, osoba która wnosi skargę na działanie
organu musi mieć świadomość, że jej dane osobowe będą przetwarzane przez ten organ w celu rozpatrzenia
skargi oraz prowadzenia w tym zakresie postępowania wyjaśniającego.

Wprowadzone zmiany w KPA mają na celu zharmonizowanie obowiązków informacyjnych z wymogami RODO, nie naruszając jednocześnie postępowania administracyjnego. Organom administracji publicznej przetwarzającym dane na podstawie RODO nie obowiązują pewne prawa przysługujące stronom postępowania. Warto także zauważyć nowe przepisy dotyczące ujawniania danych osobowych zawartych w dokumentach urzędowych.